查看理由并据此采取行动

本页介绍了如何查看和处理已由 Key Access Justifications 提供支持的理由 来请求访问您的加密密钥。每当 Google 分享您的信息时, Key Access Justifications 功能会向您发送一个说明 访问原因。您查看和处理理由的方式取决于 用于 Key Access Justifications 的密钥类型:

  • 对于外部管理的密钥,Cloud EKM 合作伙伴可能会提供 设置可自动批准或拒绝访问请求的政策 决定何时恢复。如需详细了解如何设置 政策,请参阅所选密钥管理器的相关文档。通过 以下合作伙伴支持 Key Access Justifications: <ph type="x-smartling-placeholder">
      </ph>
    • Fortanix
    • Thales
  • 对于使用 Key Access Justifications 政策配置的所有密钥,不考虑密钥 您可以在 Cloud KMS 中查看访问请求, 审核日志。

拒绝授予访问权限可能会妨碍 Google 员工帮助您 合同服务。例如:

  • 针对以下原因拒绝授予访问权限的请求:CUSTOMER_INITIATED_ACCESSGOOGLE_INITIATED_SYSTEM_OPERATION会导致您的服务变为 不可用。
  • 正在拒绝对原因为“CUSTOMER_INITATED_SUPPORT”的请求的访问权限 限制 Google 员工在 在极少数情况下,您的支持服务工单需要联系敏感的客户 信息。支持服务工单通常不需要此权限,而且我们的 一线支持人员没有此权限。
  • 正在拒绝访问相应请求,原因:GOOGLE_INITIATED_SERVICE 降低服务可用性和可靠性,并妨碍 Google 恢复服务中断。

查看 EKM 密钥的理由

您可以使用 Google Cloud 控制台查看理由 Key Access Justifications 发送到您的外部密钥管理器。要访问 首先,您需要使用 Cloud KMS 启用 Cloud Audit Logs 对包含用于加密的密钥的项目拥有的权限。

完成设置后,Cloud Audit Logs 还包含 用于加密操作的外部请求中使用的理由。通过 理由包含在资源密钥的数据访问日志中, protoPayloadmetadata 条目。如需详细了解这些字段 请参阅了解审核日志。 如需详细了解如何将 Cloud Audit Logs 与 Cloud KMS 搭配使用,请参阅 Cloud KMS 审核日志信息

请注意,与与外部密钥管理器共享的理由不同, 理由不能用于批准或拒绝 相关的加密操作。Google Cloud 仅记录理由 。因此,Google Cloud 中的日志必须是 主要用于记录保存。

查看使用 Cloud HSM 和软件密钥的理由

Cloud HSM 和软件密钥 配置了 Key Access Justifications 执行加密或解密操作后,您可以查看 Cloud KMS 审核日志 查看以下信息:

  • key_access_justification理由代码 与请求关联的操作
  • key_access_justification_policy_metadata:Key Access Justifications 政策元数据 对于包含以下信息的键:
    • customer_configured_policy_enforced:指示 已针对相应操作强制执行针对密钥设置的 Key Access Justifications 政策。
    • customer_configured_policy:表示允许访问的理由代码 访问密钥。
    • justification_propagated_to_ekm:指示访问权限请求是否 传播到外部密钥管理器(如果已配置)。

以下示例演示了 配置了 Key Access Justifications 的 Cloud HSM 密钥:

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }